[megoldva] wildcard cert nem működik intraneten?

 ( mauzi | 2017. szeptember 8., péntek - 20:38 )

Van egy intézményi CA. A tanúsítványa természetesen benne van kliensen a Trusted Root CA store-ban.

- aláírok vele egy sima tanúsítványt: host.cegnev.hu -> működik
- aláírok vele egy wildcard tanúsítványt: *.cegnev.hu -> működik
- aláírok vele egy sima tanúsítványt az intranet számára: host.foobar -> működik
- aláírok vele egy wildcard tanúsítványt az intranet számára: *.foobar -> nem működik

A "*.foobar" benne van a CN-ben és a subjectAltName-ben egyaránt, ahogy azt kell.
Az intranetes DNS név feloldódik rendesen.
OCSP nincs használatban.

A Firefox ezt mondja:

host.foobar uses an invalid security certificate.
The certificate is only valid for *.foobar
Error code: SSL_ERROR_BAD_CERT_DOMAIN

A Chrome pedig ezt:

This server could not prove that it is host.foobar; its security certificate is from *.foobar.

De miért nem match-el? Van arra valami előírás, hogy intranetes domainen nem lehet wildcard cert?

"openssl s_client -connect host.foobar:443" szerint a cert rendben van...

Világosítsatok fel, lécci! :)

UPDATE

Ez van a Chromium forrásában:

// We required at least 3 components (i.e. 2 dots) as a basic protection
// against too-broad wild-carding.

Nyilván a Firefox is hasonlóképp viselkedik.